Pankkisovellukset ja custom ROM/root

[MiloS]

Laitan privaan. En nyt luota yhtään ettei opn koodarit lue

Laittaisitko mullekkin.

Luinkin juuri noita play-kaupan arvosteluita kun en saanut toimimaan että enemmänkin ollut porukalla nyt ongelmia.

 

[zoppe]

Kyllä, koodissa on "vikaa". Palautin ensin 69 version joka toimi, ja toimii 70 mutta 71 enää ei toiminut, ei tainnut toimia myöskää ilman mitää rootteja usealla ja sit tuli tuo 71.0.1 joka ainakin playkaupan mukaan toimii niillä joilla ei toiminut. Pl. muutama root käyttäjä.
Minä luen koodiviaksi että appi ei käynnisty jos on roottaus, mutta sano mun sanoneen että ne ei sitä tuosta enempää tule korjaamaan. Nehän on vain tyytyväisiä kun kerranki osuivat oikeaan ja saivat joukon roottajia ajettua nurkkaan. Tätähän pankit ovat ikuisuuden hakenut takaa, niin ei tämä nyt vaan ole virhe koodissa. Asiakaspalvelu nyt väittää taukoomatta että tyhjennä välimuisti ja asenna uusin päivitys. Mulla nyt siis toimii uusin versio kahdessa puhelimessa, ja jotenki menetin uskoni kaikkeen. Ne hiton valopäät lukee tätäkin foorumia, niin ei jostai syystä tee mieli jakaa mitää tietoa kellekkää ettei mun monen päivän duuni mene hukkaan kun taas joku idiootti keksii uuden päivityksen siihen appiin.

Mulla ei toiminut 69 -versiokaan. Herjaa että "vanha versio, päivitä Play-kaupasta" tms ja sulkeutuu.
Todella ärsyttävää. S-Pankin kanssa tappelin joskus viime vuonna viimeksi, mutta sen sain toimimaan. Tätä en vielä.

Laitan privaan. En nyt luota yhtään ettei opn koodarit lue

Jaksaisitko mullekin laittaa?

 

[Hiikeri]

Vai ei OP:n ohjelma enää toimi noissa customRom käyttiksissä, ainakaan ilman vuosien tietämystä ja kikkailuja eri ohjelmien kautta?

Mitään kokemusta ei Customeista ole eikä näköjään tulekkaan.

Vaikka just 4 päivää sitten ostin Pixel 8a luurin ja ajatuksena näin noobiena laittaa siihen GrapheneOS:n anonyymiyden, tietoturvan ja bai-bai guukelin takia mutta jos ei toimi OP niin antaa sitten olla.

 

[throwlyfe]

Vai ei OP:n ohjelma enää toimi noissa customRom käyttiksissä, ainakaan ilman vuosien tietämystä ja kikkailuja eri ohjelmien kautta?

Mitään kokemusta ei Customeista ole eikä näköjään tulekkaan.

Vaikka just 4 päivää sitten ostin Pixel 8a luurin ja ajatuksena näin noobiena laittaa siihen GrapheneOS:n anonyymiyden, tietoturvan ja bai-bai guukelin takia mutta jos ei toimi OP niin antaa sitten olla.

Riippuu romista, root-statuksesta, ns. Gappseistä, siitä onko kehittäjäasetukset päällä vai ei ja muista mahdollisista modauksista.

Mulla on Oneplus 6T jossa virallinen LineageOS 22.1, Google appsit (NikGapps Core) ja on roottaamaton. Nordea, S-Pankki ja myös OP toimii täydellisesti ilman mitään kikkailuja.

McDonaldsin sovellus on ainut toimimaton johon olen törmännyt. Niillä on jostain syystä maailman tiukimmat turvavaatimukset, niin koomiselta kuin se kuulostaakin. Alkuvuodesta huomasin myös, että en pysty enää lataamaan Jodelia Play-kaupasta. Siinä vain lukee, että "This app won't work for your device". Aurora storesta sen pystyi kuitenkin lataamaan ja toimii ihan normaalisti.

GrapheneOS:llä on jossain oma lista toimivista pankkisovelluksista ja suomalaisten pankkien sovellukset löytyy sieltä. Muistaakseni kaikki oli merkitty toimiviksi.

 

[Hiikeri]

Joo kyllä kasetti menee näiden pakotteiden kanssa, kaiken maailman AI paskaa, Pilvi palveluita, message juttuja yms. koko ajan pakotetaan ihmisille.

Just luin viestiäsi niin joku paska halusi että voidaan vaikka jutella mukavia...

Samalla tein päätöksen, nyt lähtee moiset roskat tästä luurista eli suunnittelen kyllä tapahtuman kerta toi 'Gemini' niin halusi.

 

[Hiikeri]

Kiitos ja näkemiin 'Gemini', tuttavuutemme oli lyhyt mutta niin tarkoituksen mukainen.

PUF ja sinut on deletoitu nyt bittiavaruuteen mistä esiin ryömitkin.
Pakene takaisin luojasi eli Googlen luokse.

Android deletoitu 4pvää vanhasra luurista ja uusi käyttis (GrapheneOS) työpöydällä nyt.

Aika tuore versio käyttöjärjestelmästä koska asennus filessä (OS+firmware) oli merkintä 5.2.2025.

 

[pulatunnus]

Joo kyllä kasetti menee näiden pakotteiden kanssa, kaiken maailman AI paskaa, Pilvi palveluita, message juttuja yms. koko ajan pakotetaan ihmisille.

Just luin viestiäsi niin joku paska halusi että voidaan vaikka jutella mukavia...

Samalla tein päätöksen, nyt lähtee moiset roskat tästä luurista eli suunnittelen kyllä tapahtuman kerta toi 'Gemini' niin halusi.

Mietin asiayhteyttä custom rommeihin ja pankkisovelluksiin

Joo yleinen custom rom ja, roottailu keskustelu täällä aika vähäistä. joku ketju voi viimevuodelta löytyä

Edit, taisikin liittyä tähän


.

Vaikka just 4 päivää sitten ostin Pixel 8a luurin ja ajatuksena näin noobiena laittaa siihen GrapheneOS:n anonyymiyden, tietoturvan ja bai-bai guukelin takia mutta jos ei toimi OP niin antaa sitten olla.

 

[acid_]

Se oli siinä.
Ei toimi edes kikkailemalla 71.0.2 versio joka julkaistu eilen. Kun palauttaa 71.01 niin toimii.
Play kaupassa OP perustelee näin:
Kasvaneen verkkorikollisuuden vuoksi OP-mobiilin turvatoimia on tiukennettu. OP-mobiili toimii vain virallisissa käyttöjärjestelmissä, eikä laitteen tietoturvaa saa olla murrettu. Päivitä puhelimesi viralliseen käyttöjärjestelmään ja poista epäluotettavat sovellukset. Seuraamme tilannetta ja pahoittelemme mahdollisesti aiheutunutta haittaa.

Joten kyllä, kyse ei ole virhe koodissa, vaan tämä kaikki oli tarkoituksella tehty

 

[Lolo]

En ole itse ehtinyt asiaa tutkimaan vielä tarkemmin (ehkä viikonloppuna), mutta en usko, että tuossa OP:n päivityksessä on oikeasti tullut mitään fundamentaalisesti erilaista tarkistusmenetelmää, jota ei jo jossain muussa vastaavassa sovelluksessa käytettäisi. Veikkaan, että ovat korkeintaan saattaneet ottaa käyttöön Play Integrity ‑rajapinnan MEETS_STRONG_INTEGRITY-tarkistuksen. Tätä ei käsittääkseni pysty pelkällä PlayIntegrityFixillä ohittamaan, vaan lisäksi vaaditaan avainkikkailua Tricky Storen avulla. Mutta en ole tuota jälkimmäistä tosiaan itse vielä kertaakaan mihinkään tarvinnut, ja olen pärjännyt PlayIntegrityFixillä, Shamikolla ja Shelterillä.

 

[acid_]

En ole itse ehtinyt asiaa tutkimaan vielä tarkemmin (ehkä viikonloppuna), mutta en usko, että tuossa OP:n päivityksessä on oikeasti tullut mitään fundamentaalisesti erilaista tarkistusmenetelmää, jota ei jo jossain muussa vastaavassa sovelluksessa käytettäisi. Veikkaan, että ovat korkeintaan saattaneet ottaa käyttöön Play Integrity ‑rajapinnan MEETS_STRONG_INTEGRITY-tarkistuksen. Tätä ei käsittääkseni pysty pelkällä PlayIntegrityFixillä ohittamaan, vaan lisäksi vaaditaan avainkikkailua Tricky Storen avulla. Mutta en ole tuota jälkimmäistä tosiaan itse vielä kertaakaan mihinkään tarvinnut, ja olen pärjännyt PlayIntegrityFixillä, Shamikolla ja Shelterillä.

 

[Hiikeri]

Tällä käyttiksellä toimii OP, S-Pankki, MobilePay ja S-Mobiili.

Kuten ennenkin, VPN:ääni piti lisätä noi apit > Split Tunnelingiin, ei riitä vaikka VPN servu olisi määritelty Suomessa olevaksi, pitää mennä suora IP jonka toi Splittaus tekee eli ohittaa VPN.

Edit. Lisäys että selaimella (Brave) jos menen S-Pankkiin niin pitää saada sama suora kotimainen ISP:ni IP eli VPN pitää disabloida (tai lisätä koko selain split tunneliin). Onneksi toimii toi S-mobiili splitissä suoraan.

 

[acid_]

Tuota VPN kikkailua vois kans testaa, jos vaikka futais wireguardin kanssa

Tuli mieleen, että onkohan OP yhtään miettinyt mitä ne tekee ja miksi.
On edelleen olemassa puhelinvalmistajia ja malleja joissa ei ole sitä 18vuoden tukea päivityksille. Jos en nyt aivan väärin muista, niin saattoi olla aikoinaan ihan suomalaisessa mediassa ohjeet ja suositus asentaa joku toinen käyttis, jotta tosiaan edes ne käyttiksen tietoturvapäivitykset ovat ajantasalla. Ne kun ovat hyvin paljon tärkeämmät kuin se itse root tai joku muu erillinen ohjelma. Nyt OP käytännössä pakottaa ihmisiä ostamaan uusia laitteita jotta heidän palvelujaan voi käyttää.

 

[M0nde]

Kerta toimii ilman root oikeuksia, epäilen että op on vain hommannut jonkin antiroot ratkaisun. Jollain tuon varmaan pystyy piilottamaan, jos ei muuten niin sovellusta paikkaamalla. Onko joku kokeillut kernelsu + susfs komboa, entä apatch etc.? Googlella on play integrity rajapinnassa uusia toimintoja myös, jotka saattaa vaikuttaa.

En jaksa uskoa että OP:lla on joku android velho löytänyt täysin uuden tunnistuskeinon.

 

[xHyperion]

En ole itse ehtinyt asiaa tutkimaan vielä tarkemmin (ehkä viikonloppuna), mutta en usko, että tuossa OP:n päivityksessä on oikeasti tullut mitään fundamentaalisesti erilaista tarkistusmenetelmää, jota ei jo jossain muussa vastaavassa sovelluksessa käytettäisi. Veikkaan, että ovat korkeintaan saattaneet ottaa käyttöön Play Integrity ‑rajapinnan MEETS_STRONG_INTEGRITY-tarkistuksen. Tätä ei käsittääkseni pysty pelkällä PlayIntegrityFixillä ohittamaan, vaan lisäksi vaaditaan avainkikkailua Tricky Storen avulla. Mutta en ole tuota jälkimmäistä tosiaan itse vielä kertaakaan mihinkään tarvinnut, ja olen pärjännyt PlayIntegrityFixillä, Shamikolla ja Shelterillä.

En usko, että on integritystä kyse päätellen siitä kuinka monta "viatonta" 71.0.0 nappasi. Mm. antivirussoftat ja esteettömyyspalvelut aiheuttivat false positiveja. Joku mainitsi jopa JBL:n kuulokkeiden hallinnan. Itse veikkaan, että tiukennettu blacklistiä sovelluksille ja sekä kaikelle mikä lukee ruutua tai piirtää päälle.

 

[pulatunnus]

Tuota VPN kikkailua vois kans testaa, jos vaikka futais wireguardin kanssa

Tuli mieleen, että onkohan OP yhtään miettinyt mitä ne tekee ja miksi.
On edelleen olemassa puhelinvalmistajia ja malleja joissa ei ole sitä 18vuoden tukea päivityksille. Jos en nyt aivan väärin muista, niin saattoi olla aikoinaan ihan suomalaisessa mediassa ohjeet ja suositus asentaa joku toinen käyttis, jotta tosiaan edes ne käyttiksen tietoturvapäivitykset ovat ajantasalla. Ne kun ovat hyvin paljon tärkeämmät kuin se itse root tai joku muu erillinen ohjelma. Nyt OP käytännössä pakottaa ihmisiä ostamaan uusia laitteita jotta heidän palvelujaan voi käyttää.

En tiedä OPn ajatuksia, mutta noin yleisesti suht korkeaa luotettavuutta/suojaa haluavat ohjelmat/palvelut halutaan kohtuudella suojata.
Ilmeisesti tuettuna on Google Android 9, joka tullut jakeluun 5-6 vuotta sitten, joo tiedän että kentällä on viellä seiskallakkin ajavia, mutta silti, jos ei ole tuolloin ostanut jotain uutena kasilla olevaa jonka versio tuki loppunut siihen, niin aika vanhaa kamaa viellä tuettuna. Nykyään toki markkinoilla puhelimia joille luvataan jopa neljän vuoden versiopäivityksiä, osaan vielä sitäkin enemmän.

Yritän sanoa että jos ei aja jotain erikoislaitetta niin harvoin se puukottaminen, saati uuden rommin asentaminen on vaivan arvoinen vaan uutta laitetta.


Ja markkinatilanteessa missä lähes kaikilla potenttiaalisilla asiakkailla on Google Android ja Apple Iphone/iPad, niin niitä on tuettava, ja kun loput on niin hajanainen joukko niin noihin se jää, Huweinkin tuki tainnut hiippua, jos siihen joku lähti.

Jos kyse pankkiohjelmasta millä tunnistuskin, niin kyllä koodari haluaa mahdollisuuksien mukaan varmistaa riskitekijät, jos tunnistaa roottauksen, tai muokatun rommin, riskin näytön lukemiseen, riskin ohjelman ohjelmalliseen käyttöön, riskin tunnistamisessa, niin ei kai sillä koodarilla ole vaihtoehtoja.

Tietoturvatasostakin nykyään herjaavat, mutta siinä sitten tasapainoilla riskitason kanssa, ja siinä voidaan reakoida dynaamisesti jos ilmenee jotain riskejä kyseisellä alustalla.

Silti minulla on täysi oikeus myös omaan laitteeseeni admin oikeus, samalla tavalla kun käyttää tietokonettakin admin oikeudella. Ja kaiken tän päälle maksan vielä itse op-mobiilin käytöstä, se kun kuuluu yhtenä niihin päivittäispalveluihin mitä maksan joka kuukausi pankille. Voisi siis olettaa että mulla on oikeus sovellukseen vaikka rootattu laite.

Jos ei mennä johonkin lisenssi ja mobiili CE vaatimuksiin, niin on toki oikeus, eikä sitä pankit ole kieltämässä. Eivät vaan tarjoa samoja palveluita kuin heidän tukemilla käyttöjärjestelmillä ja niiden tasoilla.

Ja selain pohjaiset palvelut ei ymmärtääkseni pysty tarkistaan onko käyttöjärjestelmä rootattu, muokattu. ja selaimen versiota, ym voi kysellä, ja ominaisuus vaatimuksia olla että toimii.



Edellä olevalla en tarkoita että olisin jotenkin tyytyväinen, en lainkaan ole tyytyväinen siihen että kotimaiset pankit jotka kaapanneet mm tunnistatumis markkina niin heidän tunnistus ohjelmat toimii vain kahdella hallitsevalla alustalla. Toistaiseksi mm OP on avainlukulistat, joilla pankeilla erilliset tunnistuslaitteet , ja mobiilivaermennekkin toimii laajalla puhein mallistolla, tosin pankissa sillä ei paljoa asioida. Henkikortti vähiten tuettu

 

[jkaart]

Se oli siinä.
Ei toimi edes kikkailemalla 71.0.2 versio joka julkaistu eilen. Kun palauttaa 71.01 niin toimii.
Play kaupassa OP perustelee näin:
Kasvaneen verkkorikollisuuden vuoksi OP-mobiilin turvatoimia on tiukennettu. OP-mobiili toimii vain virallisissa käyttöjärjestelmissä, eikä laitteen tietoturvaa saa olla murrettu. Päivitä puhelimesi viralliseen käyttöjärjestelmään ja poista epäluotettavat sovellukset. Seuraamme tilannetta ja pahoittelemme mahdollisesti aiheutunutta haittaa.

Joten kyllä, kyse ei ole virhe koodissa, vaan tämä kaikki oli tarkoituksella tehty

Kiinostaisi tietää, että miten suuressa roolissa rootattu puhelin on oikein verkkorikollisuudessa?
En oikein ymärrä tätä holhoamista näissä pankkisovelluksissa, että millä tahansa (ajantaisella) selaimella (ja käyttöjärjestelmällä) voi käyttää pankkia ihan vapaasti mutta sovelluksesta pitää olla viimesin versio ja sen päälle vielä laite ja käyttis pitää olla tuettu ja ajantasalla.
Eivätkö pankit luota omien tietokantojensa (missä asiakkaiden "rahat" loppupelissä sijaitsee) turvallisuuteen, että joku burteforcettaa rootatulla puhelimella sisään ja vie tietokannasta ykköset ja nollat? Mutta sama vaarahan se pitäisi selaimellakin käytettäessä olla...

 

[M0nde]

OP-mobiili ainakin käy läpi asennetut sovellukset ja etsii kaikenlaisia vähänkin koskettuun puhelimeen viittaavaa. Lisäksi tarkistelee kansioita yms. Vittu mikä työmaa. Pitää tutkiskella mikä kosahtaa myöhemmin, ehkä OP:n jätkät voisi samalla tyhjentää täysin aiheettomat sovellukset listalta. Esim. Kingroot ei liene enää ajankohtainen.

 

[pulatunnus]

Kiinostaisi tietää, että miten suuressa roolissa rootattu puhelin on oikein verkkorikollisuudessa?

Suomessa julkisuudessa olleista jutuista ei heti muistu tapauksia joissa puhelimen tieturva-aukkoa olisi hyödynnetty. Mutta se tiedetään että julkisuuteen tulee vain jotain tapauksia ja aina niissäkään ei kerrota yksityiskohtia, lähinnä niissä missä käräjillä riidelty vastuista.

Pankille se on vastuukysymys, jos se pystyy tukkiin sen aukon, vielä ihan Googlen ohjeilla niin siinä saa vastaava sitten selittää miksi niin ei ole tehty. Ehkä riskiarvioissa ei ole ainostaan muutama nörtti , vaan myös isot kohteet. missä ei enään puhuta jostain kymppitonneista.

En oikein ymärrä tätä holhoamista näissä pankkisovelluksissa, että millä tahansa (ajantaisella) selaimella (ja käyttöjärjestelmällä) voi käyttää pankkia ihan vapaasti mutta sovelluksesta pitää olla viimesin versio ja sen päälle vielä laite ja käyttis pitää olla tuettu ja ajantasalla.
Evätkö pankit luota omien tietokantojensa (missä asiakkaiden "rahat" loppupelissä sijaitsee) turvallisuuteen, että joku burteforcettaa rootatulla puhelimella sisään ja vie tietokannasta ykköset ja nollat? Mutta sama vaarahan se pitäisi selaimellakin käytettäessä olla...

Pankin puolella toki tehostettu menetelmiä miten tunnistaa asiakkaan tunnistus(*, aito asiakas, aito asiakkaan toimeksianto. silti jatkuvasta tapahtuu väärinkäytöksiä. Bruteforce ei taida olla käypä menetelmä mihinkään muuhun kuin palvelun estohyökkäykseen, ja siihen tuskin muutamalla sadalla luurilla pitkälle päästään näill isoilla.

Pankinpäässä pitää yrittää tunnistaa ne toimet mitkä ei sovi asiakas profiiliin, mutta jos se toiminta sopii, asiakkaan laite, yhteys, asiakkaan tahdilla, ajankohtaan, ympäristöön jne. Jos mietit tunnistautumista, niin ei pankki tiedä mitä teet, jos tunnistautuminen tapahtuu asiakkaan laitteella, yhteydellä ja palveluun mikä nyt on sopimuskumppani, niin saa siinä vähän AI käyttää että erottaa. Oikean käyttäjänkin sähläys noissa niin tavallista että useaan kertaan peräkkäin tunnistautuminen samaan palveluun voi estää palvelun käyttöä.


(*
Mobiili tunnistuksen idea olla suht vahva. Muistettava että asiakkaat taasen odottaa nopeutta, toimeksiannot ym jätetään viimetinkaan, myös ne tavallisesta profiilista poikkeavat. Joskus oli ok että rahat lähti eräajossa kerran pari vuorokaudessa ja sitten olivat vastaanottajan tilillä parin työpäivän päästä, viikkokin kotimaassa. Niitä pysty perumaan seuraavana päivänä jne.

 

[xHyperion]

Suomessa julkisuudessa olleista jutuista ei heti muistu tapauksia joissa puhelimen tieturva-aukkoa olisi hyödynnetty. Mutta se tiedetään että julkisuuteen tulee vain jotain tapauksia ja aina niissäkään ei kerrota yksityiskohtia, lähinnä niissä missä käräjillä riidelty vastuista.

Pankille se on vastuukysymys, jos se pystyy tukkiin sen aukon, vielä ihan Googlen ohjeilla niin siinä saa vastaava sitten selittää miksi niin ei ole tehty. Ehkä riskiarvioissa ei ole ainostaan muutama nörtti , vaan myös isot kohteet. missä ei enään puhuta jostain kymppitonneista.



Pankin puolella toki tehostettu menetelmiä miten tunnistaa asiakkaan tunnistus(*, aito asiakas, aito asiakkaan toimeksianto. silti jatkuvasta tapahtuu väärinkäytöksiä. Bruteforce ei taida olla käypä menetelmä mihinkään muuhun kuin palvelun estohyökkäykseen, ja siihen tuskin muutamalla sadalla luurilla pitkälle päästään näill isoilla.

Pankinpäässä pitää yrittää tunnistaa ne toimet mitkä ei sovi asiakas profiiliin, mutta jos se toiminta sopii, asiakkaan laite, yhteys, asiakkaan tahdilla, ajankohtaan, ympäristöön jne. Jos mietit tunnistautumista, niin ei pankki tiedä mitä teet, jos tunnistautuminen tapahtuu asiakkaan laitteella, yhteydellä ja palveluun mikä nyt on sopimuskumppani, niin saa siinä vähän AI käyttää että erottaa. Oikean käyttäjänkin sähläys noissa niin tavallista että useaan kertaan peräkkäin tunnistautuminen samaan palveluun voi estää palvelun käyttöä.


(*
Mobiili tunnistuksen idea olla suht vahva. Muistettava että asiakkaat taasen odottaa nopeutta, toimeksiannot ym jätetään viimetinkaan, myös ne tavallisesta profiilista poikkeavat. Joskus oli ok että rahat lähti eräajossa kerran pari vuorokaudessa ja sitten olivat vastaanottajan tilillä parin työpäivän päästä, viikkokin kotimaassa. Niitä pysty perumaan seuraavana päivänä jne.

Murra rootattu puhelin vai

 

[acid_]

En tiedä OPn ajatuksia, mutta noin yleisesti suht korkeaa luotettavuutta/suojaa haluavat ohjelmat/palvelut halutaan kohtuudella suojata.
Ilmeisesti tuettuna on Google Android 9, joka tullut jakeluun 5-6 vuotta sitten, joo tiedän että kentällä on viellä seiskallakkin ajavia, mutta silti, jos ei ole tuolloin ostanut jotain uutena kasilla olevaa jonka versio tuki loppunut siihen, niin aika vanhaa kamaa viellä tuettuna. Nykyään toki markkinoilla puhelimia joille luvataan jopa neljän vuoden versiopäivityksiä, osaan vielä sitäkin enemmän.

Sulla meni nyt aivan ohi, ilmeisesti.
En puhunut siitä kuinka pitkään OP tukee, vaan juuri siitä kuinka kauan puhelin saa suojauspäivityksiä.
Tässä sulle hyvä esimerkki, Oneplus 9 pro on julkaistu 2021, joka saa viimeisen suojauspäivityksen nyt just. Ens kuun jälkeen se on EOL ja roskiskamaa. Vai onko sittenkään? Rauta on vielä varsin hyvää. Kuten sanoin, käyttiksen omat suojauspäivitykset ovat varmasti enempi tärkeämpiä kuin mikään muu. Ei se että tukeeko OP jotain vanhaa androidia.
Jos asia ei avaudu, niin kerron sen brutaalisti. Onko mitenkään ookoo, että käyttäisit esim windowssia niin ettei siihen ole mitään päivityksiä ajettu ja käytät sitä kuitenki internettiin päin.

 

[BoomerX]

Kiinostaisi tietää, että miten suuressa roolissa rootattu puhelin on oikein verkkorikollisuudessa?
En oikein ymärrä tätä holhoamista näissä pankkisovelluksissa, että millä tahansa (ajantaisella) selaimella (ja käyttöjärjestelmällä) voi käyttää pankkia ihan vapaasti mutta sovelluksesta pitää olla viimesin versio ja sen päälle vielä laite ja käyttis pitää olla tuettu ja ajantasalla.
Eivätkö pankit luota omien tietokantojensa (missä asiakkaiden "rahat" loppupelissä sijaitsee) turvallisuuteen, että joku burteforcettaa rootatulla puhelimella sisään ja vie tietokannasta ykköset ja nollat? Mutta sama vaarahan se pitäisi selaimellakin käytettäessä olla...

näköjään nuo OP:n asiakkaat on niin hämärää laitapuolen kulkijaa ettei edes pankki luota omiin asiakkaisiin

Oma epäilys on että OP yrittää suojata oman sovelluksensa pen testaukselta rootatussa laitteessa.

 

[pulatunnus]

Sulla meni nyt aivan ohi, ilmeisesti.
En puhunut siitä kuinka pitkään OP tukee, vaan juuri siitä kuinka kauan puhelin saa suojauspäivityksiä.
Tässä sulle hyvä esimerkki, Oneplus 9 pro on julkaistu 2021, joka saa viimeisen suojauspäivityksen nyt just. Ens kuun jälkeen se on EOL ja roskiskamaa. Vai onko sittenkään? Rauta on vielä varsin hyvää. Kuten sanoin, käyttiksen omat suojauspäivitykset ovat varmasti enempi tärkeämpiä kuin mikään muu. Ei se että tukeeko OP jotain vanhaa androidia.

Ei mennyt, sori huono ulosanti.

Jos astutaan niihin saappaisiin joka vastuussa siitä sovelluskehityksestä. Jos alusta on rootattu tai muokattu, tai jos alustalla on sovelluksia jotka voi käyttää sovellusta, voi siis lukea näyttö, voi "kirjoittaa siihen" voi kirjoittaa sen päälle jne. Niin se on 100% riski , siis paljon suurempi riski kuin viimeisten tietoturvapäivitysten puuttuminen.

Yksittäinen tieturva-aukko voi olla toki riskiltään edellä kuvatuntasoinen riski. Online palvelussa pankki voi kuitenkin jollain tasolla reagoida dynaamisesti havaittuihin riskeihin, ehkä jopa estää ne.

Pankit ovat alkaneet huomauttamaan tieturvapäivityksistäkin, siis jopa ennakoivasti, vaikka vielä olisi tuettu. Siellä on myös toisessa kupissa se että mikä jonkin tason hinta, mitä saavutetaan sillä että ei palvelulle kriittiset tietoturvapäivitykset puuttuu, vs se että ne vaadittaisiin. Eli se alusta mikä ei ole muutamaan vuoteen saanut päivityksiä voi olla turvallisempi vaihtoehto.

näköjään nuo OP:n asiakkaat on niin hämärää laitapuolen kulkijaa ettei edes pankki luota omiin asiakkaisiin

Miten hämärät laitepuolen kulkijat olisi pankille se suurin riski. Joo voi rakennella jotain rikollis kuvioita, ja alusta vaatimuksilla vähän nostaa sen touhun kustannuksia, mutta eiköhän ole jostain muusta kyse.

 

[M0nde]

Ei mennyt, sori huono ulosanti.

Jos astutaan niihin saappaisiin joka vastuussa siitä sovelluskehityksestä. Jos alusta on rootattu tai muokattu, tai jos alustalla on sovelluksia jotka voi käyttää sovellusta, voi siis lukea näyttö, voi "kirjoittaa siihen" voi kirjoittaa sen päälle jne. Niin se on 100% riski , siis paljon suurempi riski kuin viimeisten tietoturvapäivitysten puuttuminen.

Yksittäinen tieturva-aukko voi olla toki riskiltään edellä kuvatuntasoinen riski. Online palvelussa pankki voi kuitenkin jollain tasolla reagoida dynaamisesti havaittuihin riskeihin, ehkä jopa estää ne.

Pankit ovat alkaneet huomauttamaan tieturvapäivityksistäkin, siis jopa ennakoivasti, vaikka vielä olisi tuettu. Siellä on myös toisessa kupissa se että mikä jonkin tason hinta, mitä saavutetaan sillä että ei palvelulle kriittiset tietoturvapäivitykset puuttuu, vs se että ne vaadittaisiin. Eli se alusta mikä ei ole muutamaan vuoteen saanut päivityksiä voi olla turvallisempi vaihtoehto.






Miten hämärät laitepuolen kulkijat olisi pankille se suurin riski. Joo voi rakennella jotain rikollis kuvioita, ja alusta vaatimuksilla vähän nostaa sen touhun kustannuksia, mutta eiköhän ole jostain muusta kyse.

Hienosti menee sulla homma ohi edelleen. Custom romin avulla uudempaan androidiin päivitetty puhelin on monesti vähemmän altis esim. näytön kaappaus hyökkäykselle, yksinkertaisesti siksi että google paikkaa hyväksikäytettyjä aukkoja. Uusimassa androidissa oleva puhelin on 99% tapauksissa turvallisempi kuin muutaman vuoden ajan vanhentunut. Jos "alusta jolla on sovelluksia jotka voi käyttää sovellusta, voi lukea näytön, tai kirjottaa siihen" on noin valtava uhka, pitää pankin sulkea kaikilta alustoilta paitsi iPhoneilta.

 

[pulatunnus]

Hienosti menee sulla homma ohi edelleen. Custom romin avulla uudempaan androidiin päivitetty puhelin on monesti vähemmän altis esim. näytön kaappaus hyökkäykselle, yksinkertaisesti siksi että google paikkaa hyväksikäytettyjä aukkoja. Uusimassa androidissa oleva puhelin on 99% tapauksissa turvallisempi kuin muutaman vuoden ajan vanhentunut. Jos "alusta jolla on sovelluksia jotka voi käyttää sovellusta, voi lukea näytön, tai kirjottaa siihen" on noin valtava uhka, pitää pankin sulkea kaikilta alustoilta paitsi iPhoneilta.

Sori, puhumme eriasoista, sori huono ulosantini.

Pankin ohjelmalle, sen koodarille jos mietit tunnistaa custom rom, rootattu , mitä se tarkoittaa. ei se tarkoita että se on luotettu turvallinen, vaan se tarkoittaa että se muokattu, ei voida luottaa.

Jos asiakkaalla on vaikka joku Galaxy s24, ohjelma tunnistaa sen muokatuksi, niin ei siihen voi sen jälkeen luottaa, vaan potenttiaalinen riski, jos sitä käytetään ja selvitellään vastuita niin pankin niskaan se kallistuu jos käy ilmi että joo tunnistettiin muokatuksi, mutta annettiin jatkaa.

Toinen on sitten jos tunnistetaan ohjelma joka voi lukea ohjelmaa, kirjoittaa ohjelmaan, ja mennään taasen selvitteleen vastuita, ja käy ilmii, joo huomattiin se mutta annettiin jatkaa... Tässä ollaan jo lähempänä sitä että on jo jokin kokoinen käyttäjämäärä mille olisi tarvetta omainsuudelle, eli riski, hyöty tasapaino ei niin selkeä.

Jos tunnistetaan että muokattu rom, niin sehän tarkoittaa pankille että mihinkään ei voi luottaa. Jos vastuita selvitellään , joo nähtiin että muokattu , mutta ennettiin jatkaa.

Custom romin avulla uudempaan androidiin päivitetty puhelin on monesti vähemmän altis esim. näytön kaappaus hyökkäykselle, yksinkertaisesti siksi että google paikkaa hyväksikäytettyjä aukkoja. Uusimassa androidissa oleva puhelin on 99% tapauksissa turvallisempi kuin muutaman vuoden ajan vanhentunut. Jos "alusta jolla on sovelluksia jotka voi käyttää sovellusta, voi lukea näytön, tai kirjottaa siihen" on noin valtava uhka, pitää pankin sulkea kaikilta alustoilta paitsi iPhoneilta.

Se on totta että custom rom voi olla turvallinen, voi turvallisempi kuin joka vanha päivittämätön. Jos pankki tunnistaisi turvallisen custom rommin, jos sillä on luotettava tekijä, ja se on luotettavasti ehyeksi tunnistettavissa laitteessa, ja tukee Googlen tarjoamia juttuja, niin mikä ettei. Mutta ei taida meidän markkinoilla olla mitään niin isoa joka käyttäjämääränä tekisi mielekkääksi harkita. Ja siinäkin sitten pitäisi tunnistaa ettei ole rootattu ja ilman sitä tunnistaa jos riski ohjelmia/palveluita asennettu käytössä.

Uusi puhelin on kuitenkin niin halpa.

 

[acid_]

Köyhälle kallis, muille saman hintainen.
En kyllä tiedä millä mittapuulla joku uusi puhelin on halpa. Esim juuri tuo s24 sanoo googlen mukaan 650€. Tuosta noin vaan jengi kävelee ostaa sellaisen. Puhumattakaan lippulaivoista.
No mutta, hyvä että mielipiteitä löytyy. Maailmaan mahtuu ääniä.